Hacker pflanzten Backdoor in Linux Core: XZ Utils erlaubt SSH Zugriff

Alarmstufe Rot in der Linux Welt: am 29. März 2024 informierte Andres Freund, ein Entwickler bei PostgreSQL, über eine Backdoor in XZ Utils, die unbefugten SSH-Zugriff ermöglichen kann. XZ Utils, insbesondere die liblzma-Komponente, ist ein essenzielles Werkzeug für die Datenkompression unter Linux, vergleichbar mit gzip und bzip2. Die Entdeckung erfolgte, als Freund ungewöhnliche Symptome in Verbindung mit liblzma auf Debian-Installationen bemerkte, einschließlich hoher CPU-Auslastung und Fehlern beim Login über SSH.

Diese Backdoor CVE-2024-3094 wurde mit einem CVE Score 10/10 bewertet und befand sich nicht im Git-Repository von XZ, sondern ausschließlich in den verteilten Tarball-Archiven der Versionen 5.6.0 und 5.6.1. Eine genauere Untersuchung ergab, dass ein obfuskiertes Skript am Ende des Konfigurationsprozesses eingeschleust wurde, das bei bestimmten Bedingungen Funktionen innerhalb von liblzma modifiziert und so eine Schwachstelle erzeugt, die das Durchbrechen der SSH-Authentifizierung ermöglichen könnte.

Betroffen sind mehrere Linux-Distributionen, darunter Arch Linux, Fedora, Debian (Unstable), openSUSE und Kali Linux (26.3.2024 - 29.3.2024). Die Auswirkungen sind gravierend, da Angreifer unter bestimmten Umständen unberechtigten Zugriff auf Systeme erlangen könnten. Es ist dringend empfohlen, betroffene Versionen zu degradieren und auf sichere Versionen zu aktualisieren.

Die Backdoor zielt speziell auf x86-64-Linux-Systeme ab und wird aktiv, wenn bestimmte Bedingungen erfüllt sind, wie der Einsatz von gcc und dem GNU-Linker oder der Betrieb im Rahmen eines Debian- oder RPM-Paketbuilds. Besonders alarmierend ist die Modifikation von SSHD-Authentifizierungsprozessen, wodurch SSH-Logins verlangsamt werden und potenziell unbefugter Zugriff ermöglicht wird. Das Repository von XZ-Utils wurde in Folge dessen Github gesperrt.

Angesichts der Komplexität und Verstecktheit dieser Backdoor ist anzunehmen, dass ein staatlicher Threat Actor hinter dem Angriff auf die Linux Supply Chain steht. Die Spur führt laut Hacker News zum Github Account von Jigar Kumar JiaT75 dessen Komplizen Larhzu und Hans Jansen. Noch ist nicht klar, wer dahinter steht. Laut einem Bericht von Evan Boehs ist aber es ist davon auszugehen, dass die 3 nicht wie behauptet in Kalifornien sitzen, da deren Aktivität wahrscheinlich zwischen 12-17 Uhr UTC stattfand, was eher für Europa/Asien sprechen würde. Die Folgen sind jedoch so gravierend, dass eine ernste Diskussion über die Sicherheit von Open Source Projekten entbrannt ist. Der Fund war sogar so wichtig, dass sogar die Amerikanische Cybersecurity Behörde CISA eine eine Warnung ausgab. Jeder Linux Administrator, der die oben aufgelisteten Systeme betreibt sollte dringend prüfen, ob die eigenen Systeme betroffen sind.

Related Posts

Linux Variante des Remote Access Trojaners DinodasRAT aufgetaucht

Eine vom Kasperky Threat Intelligence Team entdeckte Linux-Version von DinodasRAT, einem Remote Access Trojaner, auch bekannt als XDealer, startete eine weltweite Angriffswelle. Der in C++ geschriebene Multi-Plattform-Backdoor ermöglicht es Angreifern, sensible Daten von Zielcomputern zu überwachen und zu stehlen. Nachdem eine Windows-Version dieses RAT (Remote Access Trojan) in Angriffen gegen Regierungseinrichtungen in Guyana eingesetzt wurde, ist nun auch eine Linux Variante im Umlauf, wie die Sicherheitsforscher Kasperky rausfanden.

Read More

AI Package Hallucination Angriffe nehmen zu

ChatGPT und Co. erfinden oft Software Dependencies die gar nicht existieren - Hacker nehmen diese Einladung dankend an und programmieren diese nach, incl. Malware Backdoor. Das Problem basiert auf sog. “AI Package Hallucination” und betrifft LLMs wie ChatGPT, die auf Grund Ihrer Art zu antworten oft auch ursprünglich nicht existierende Softwarepakete empfehlen. Ein Bericht von Lasso Security zeigt, dass teilweise 30 Tausend Downloads auf ein hallzuniertes Software Paket (huggingface-cli statt huggingface-hub) existierten, das es so nie hätte geben dürfen.

Read More

Wall-Escape Schwachstelle in Linux erlaubt Zugriff auf Konten anderer

Die am 27.3.24 veröffentlichte Schwachstelle CVE-2024-28085, genannt “Wall-Escape” ermöglicht es nicht privilegierten Benutzern, willkürlichen Text auf den Terminals anderer Benutzer anzuzeigen, sofern bestimmte Bedingungen erfüllt sind. die Schwachstelle betrifft den wall Befehl von util-linux, der es versäumt, Escape-Sequenzen aus Kommandozeilenargumenten zu filtern. Der Fehler ist in allen Versionen seit einem Commit aus dem Jahr 2013 vorhanden und lässt sich bereits über ein Proof-of-Concept ausnutzen.

Read More